ISO27001の内部監査でチェックすべきポイント

投稿日:

ISOプロ担当者

最終更新日: 2019年12月06日

checklist-2470307_960_720 (1)

1.内部監査の目的を確認しよう

ISO/IEC27001の要求事項では、以下のように定義されています。企業/組織が、
「ISMSに関して組織自体が規定した要求事項」および「ISO/IEC27001の要求事項」に適合し、かつISMSが有効に機能しているかを評価し、その監査結果をトップマネジメントに報告します。企業/組織はその結果報告を受けて、指摘事項および改善事項について効果を確認しますが、重要なことは、ISMSを運用維持するための「継続的改善活動」を実施することにあります。

ISMSの内部監査でチェックすべきポイント

2.内部監査を有効に実施するには? 

内部監査有効性を実現するために、「監査チェックリスト」を利用します。
インタビューの流れや担当内部監査員のスキル等も考慮し、監査チェックリストをどの程度詳細化するのか決定します。その後、実際に監査チェックリストを作成して監査業務の効率化を図り、標準化します。内部監査の準備では、監査チェックリストの内容を見直し、監査の形骸化を防止します。

1)監査チェックリストの作成ポイント:

  • ①チェックリストでは、監査テーマごとに詳細チェック項目を作成し、チェック項目に優先度をつけ(重点項目の設定)、その際、監査確認事項(チェック項目)の有効性を判定できる質問事項となるよう考慮します。
  • ②作成した監査チェックリストは、実際にそのチェックリストを利用する担当内部監査員や業務精通者に事前レビューしていただくと、質の高い監査チェックリストを作成することができ、監査の質も向上します。
  • ③監査チェックリストは監査実施記録として保管しますが、チェックリストに記載がない事柄について確認した場合も、その記録をリストに追加し、改善・次回監査に役立てます。

2)監査インタビューの注意ポイント

監査インタビューでは、監査人は質問の主眼を置いて、意図した回答が得られるよう質問をします。例えば、内部監査を受ける各業務部門(部署)監査担当者の考え方や理解度を確認したい場合は「はい・いいえ」といった回答ではなく「説明」をしていただく。問題点等の確認は必要に応じて現場でデモストレーションを実施していただき、問題点の発生状況や環境、改善点等について確認することも必要です。

3)監査報告書作成時の留意点

内部監査を実施した後、監査実施結果報告書を作成しますが、不適合があった場合、不適合(改善点)報告書も作成する必要があります。以下に、報告書作成時の留意点について示します。

 
≪留意点≫

       
  • 監査実施結果報告書: 監査範囲全体や部門ごとに ISMSの取り組みについて総合的に評価します。
  •    

  • 不適合報告書: 指摘事項・改善点ごとに不適合内容について客観的に、詳細に記載します。まずは改善の判断基準(不適合の根拠/重大・軽微等)について記載し、次に判断基準となった規格の要求と、不適合と判定された状態について記載します。

■【参考資料】ISO/IEC27001:2013(JIS Q 27001:2014)「内部監査」の要求事項

9.2 内部監査
組織のISMSが次の事項に適合しているか定期的に内部監査を実施する。
【条件】
a) 適合事項
     1)ISMSに関して、組織自体が規定した要求事項
     2)ISO/IEC27001の要求事項
    b)有効に実施され,維持していること。
c)組織は、頻度,方法,責任および計画に関する要求事項及び報告を含む,内部監査プログラムの計画,確立、実施及び維持。監査プログラムは、関連するプロセスの重要性および前回までの監査の結果を考慮に入れなければならない。
d)各監査について,監査基準及び監査範囲を明確にする。
    e)監査プロセスの客観性及び公平性を確保する監査員を選定し、監査を実施する。
    f)監査の結果を関連する管理層に報告する。
g)監査プログラム及び監査結果の証拠として、文書化した情報を保持する。
    
9.3マネジメントレビュー
   トップマネジメントは,組織のISMSが、引き続き,適切,妥当かつ有効であることを確実にするために,定期的にISMSをレビューしなければならない。

以下の事項を考慮する。
a)前回までのマネジメントレビューの結果とった処置の状況
b)ISMSに関連する外部及び内部の課題の変化
c)次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック
   1)不適合及び是正処置
   2)監視及び測定の結果
   3)監査結果
   4)情報セキュリティ目的の達成
d)利害関係者からのフィードバック
e)リスクアセスメントの結果およびリスク対応計画の状況
f)継続的改善の機会

4) マネジメントレビューからのアウトプット
マネジメントレビューからのアウトプットには、継続的改善の機会、及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。
【出典】JIS Q27001:2014(9.2 内部監査~9.3 マネジメントレビュー)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 無題5
5 photo-1509803874385-db7c23652552 (1)
6 03296b0dc8f905069a76056b80a28c26_s
7 00000
8 5aff54b4714e9006fb985d0a02457112_s

関連するおすすめ記事